安卓版下载

大型金融机构网络风险管理框架设计

2020-08-03 03:19丁蕾
科学与信息化 2020年18期
关键词:网络安全风险管理

丁蕾

摘 要 随着信息化技术的飞速发展,银行保险等大型金融机构对网络的依赖程度越来越深,而层出不穷的网络威胁对金融机构的网络造成的损害也越来越大,近年来,我国也多次金融机构大型金融机构的“护网”行动,测试网络在,本文设计了一种网络风险管理框架,将网络安全风险视为金融机构风险管理工作的一部分,框架包括风险管理活动和风险管理流程。

关键词 网络安全;风险管理;金融机构网络

1 框架作用

网络风险管理框架可为大型金融机构根据其业务要求,风险承受能力和资源来调整其网络安全活动并确定其优先级。网络风险管理是识别,评估和响应风险的持续过程。为了管理风险,金融机构应该了解网络威胁发生的可能性以及可能产生的影响[1]。借助这些信息,金融机构可以确定实现正常运维目标的可接受风险水平,并将其表示为风险承受能力。金融机构可以优先考虑可设置的网络安全措施,从而就网络安全的投资预算做出合理的决定。金融机构可能会选择不同的方式来处理风险,包括减轻风险,转移风险,避免风险或接受风险,具体取决于网络威胁对其关键服务的潜在影响。

2 框架构成

网络风险管理框架包括风险管理活动和风险管理实施流程。

2.1 风险管理活动

风险管理框架的核心是一组在关键基础架构领域通用的网络安全活动,包括识别、包含识别、保护、检测、响应和恢复。

识别 ——建立金融机构对本机构网络资产的认识,以管理本企业对信息系统、人员、资产、数据和业务功能的网络安全风险。

识别功能中的活动是有效使用网络风险管理框架的基础。了解业务环境,支持关键功能的资源以及相关的网络安全风险,可使金融机构根据其风险管理策略和业务需求集中精力并确定工作的优先级。此项包括:网络资产管理、商业环境分析、风险评估和风险管理策略。

保护——制定并实施适当的网络安全保障措施以确保本企业提供关键服务的能力。

保护功能支持限制或控制潜在网络安全事件的影响的能力,此功能包括:网络登录身份管理和访问控制、用户网络安全意识和培训、数据安全、企业信息保护流程和程序、网络维护和安全技术。

检测——制定并实施适当的活动以识别网络安全事件的发生。

检测功能可以及时发现网络安全事件。此功能包括:网络异常和事件检测过程,网络环境安全持续监控。

响应 ——制定并实施适当的活动,以对检测到的网络安全事件采取措施。

響应功能是控制潜在网络安全事件的影响的能力。此功能包括:网络威胁响应计划;安全和运维部门间的交流;网络威胁事件的分析和减轻。

恢复——制定并实施适当的活动,以维护网络正常运行并恢复由于网络安全事件而受损的任何功能或服务。

恢复功能支持及时恢复到正常运行,以减少网络安全事件的影响。此功能包括:事先制定业务恢复计划,业务恢复流程演练。

2.2 风险管理流程

框架实施层提供企业如何看待网络安全风险以及适当的风险管理流程,描述了企业的网络安全风险管理实践展现出框架中定义的特征的程度(例如,风险和威胁感知,可重复和适应性)。有助于确定网络安全风险管理在多大程度上由业务需求确定,并已集成到企业的整体管理流程中。风险管理方面的考虑包括网络安全的许多方面,包括将用户隐私和公民自由方面的考虑纳入企业对网络安全风险和潜在风险应对的管理。

(1)风险管理流程——网络风险管理实践需要得到企业管理层的批准和支持,并正式确定为企业整体范围的政策。网络安全活动和保护需求的优先级直接由金融机构风险目标,威胁环境或业务/任务要求确定。

(2)综合风险管理计划——在整个企业范围内都需要树立网络安全风险意识,并建立企业范围内管理网络安全风险的方法。网络安全信息可以在企业内部共享,在金融机构目标和计划中考虑网络安全可能会出现在金融机构的某些而非全部范围,并对金融机构和外部资产进行网络风险评估。

(3)外部参与——通常,金融企业了解其在更大的生态系统中的作用,无论是其自身的依存关系还是依附关系,该金融机构与其他实体,如网络安全企业、政府相关管理部门合作并从其他实体接收网络安全信息,并梳理形成与自身相关的网络安全的信息。此外,金融企业还需要意识到与其提供和使用的产品和服务相关的网络供应链风险,并制定相应的管理计划。

3 框架应用场景

金融企业可以将网络风险管理框架用作其网络安全实施的关键部分,以识别,评估和管理网络安全风险[2]。使用该框架作为网络安全风险管理工具,企业可以确定对于关键服务最重要的网络活动,并确定安全预算支出的优先级,以最大限度地发挥安全投资的影响。

该框架可以作为企业新的网络安全计划的基础,也可以作为改进现有计划的机制,并且可以帮助发现组织的网络安全实践中的空白。

参考文献

[1] 王红兵.Web 应用威胁建模与定量评估[J].清华大学学报:自然科学版,2009(S2):2108-2112.

[2] 王世伟.论信息安全、网络安全、网络空间安全[J].中国图书馆学报,2016(5):4-28.

猜你喜欢
网络安全风险管理
住房公积金风险管理信息化审计探讨
中国房地产·综合版(2022年1期)2022-04-24
风险管理在心内科中的应用效果观察
中国药学药品知识仓库(2022年1期)2022-03-23
邯郸市档案馆积极开展网络安全宣传教育
档案天地(2022年2期)2022-02-21
护理风险管理在急诊科护理管理中的应用
中国药学药品知识仓库(2021年18期)2021-02-28
全国多地联动2020年国家网络安全宣传周启动
计算机世界(2020年36期)2020-09-27
新量子通信线路保障网络安全
科学大众(中学)(2019年2期)2019-04-08
养老保险精算的分析与风险管理的研究
智富时代(2017年10期)2017-11-22
养老保险精算的分析与风险管理的研究
智富时代(2017年10期)2017-11-22
全省教育行业网络安全培训班在武汉举办
湖北教育·综合资讯(2017年7期)2017-07-29
保护个人信息安全,还看新法
瞭望东方周刊(2017年22期)2017-06-22

科学与信息化2020年18期

科学与信息化的其它文章
空管自动化系统AIDC功能故障分析
视觉识别技术在自动化控制中的应用分析
企业输电架空线路无人机巡检技术应用
浅谈不动产测绘中倾斜摄影测量技术的应用
DMHS-H自动转报系统传输故障实例分析
论数控加工在一体化教学中的应用*
杂志排行

  1. 1《婚育与健康》2024年9期

  2. 2《现代经济信息》2024年5期

  3. 3《现代农村科技》2024年5期

  4. 4《电气技术与经济》2024年4期

  5. 5《吉林医学》2024年3期

  6. 6《北京文学·中篇小说月报》2024年5期

  7. 7《经济技术协作信息》2024年2期

  8. 8《北华大学学报(自然科学版)》2024年2期

  9. 9《农业开发与装备》2024年3期

  10. 10《畜牧兽医科技信息》2024年1期

关于参考网